数字证书在线下载方法及系统、数字证书发放平台的制作方法

文档序号:7552142阅读:190来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:数字证书在线下载方法及系统、数字证书发放平台的制作方法
技术领域
本发明涉及通信技术,尤其涉及一种数字证书在线下载方法及系统、数字证书发放平台。
背景技术
随着互联网和新媒体技术的发展,越来越多的终端设备,例如电脑、移动终端、电视机(包括电视机机顶盒)等均涉及到终端身份鉴权的问题,通过对终端设备进行身份鉴权,可有效确保运营商或业务提供商可为合法的终端设备提供相关业务。目前,在对终端设备进行身份鉴权时,通常采用下发数字证书的方式给终端设备,以利用数字证书对终端设备进行身份鉴权,其中,终端设备的数字证书具体是指设备的身份信息、设备所持有的一对公私钥和数字签名等构成,该数字证书由数字证书发放机构(CA)来下发。现有技术中,对数字证书进行下发时,通常采用通过U盘等硬件实体携带方式下发数字证书,或者通过网络下载的方式,由终端设备从CA平台下载数字证书。由于通过U盘等硬件实体进行数字证书下发具有较大的局限性,而通过网络下载数字证书的方式则具有较强的便利性和快捷性,可为各种移动终端提供相应的数字证书的下载,因此得到了广泛的应用。但是,现有利用网络下载方式进行数字证书下载过程中,通常是由终端直接发起请求,且通常是基于注册的账户名和密码方式来进行数字证书的下载认证,这样在数字证书下发时,CA平台极易遭受恶意下载,导致数字证书下发的安全性和可靠性降低;同时,现有也有通过获得下载码的方式来进行数字证书的下载,这种方式同样存在安全性较差的问题。

发明内容
本发明提供一种数字证书在线下载方法及系统、数字证书发放平台,可克服现有数字证书下载时所存在的安全性较差的问题。第一方面,本发明提供一种数字证书在线下载方法,包括:设备管理平台获取终端设备发送的数字证书下载请求,所述数字证书下载请求包括终端设备的身份标识;设备管理平台向数字证书发放平台发送令牌申请请求,所述令牌申请请求包括设备管理平台的注册信息,以及所述终端设备的身份标识,以便所述数字证书发放平台基于所述设备管理平台的注册信息对所述设备管理平台进行身份验证,以在所述设备管理平台的身份验证通过后,基于所述终端设备的身份标识为所述终端设备分配令牌并将所述令牌返回至所述设备管理平台,所述令牌包括数字证书请求接口的地址以及终端设备的身份标识;设备管理平台接收所述数字证书发放平台返回的所述令牌,将所述令牌转发给所述终端设备,以便所述终端设备根据所述设备的身份标识对所述令牌进行令牌验证,并在令牌验证通过后,基于所述令牌中的数字证书请求接口的地址向所述数字证书发放平台发送所述令牌,以请求下载所述终端设备的数字证书。第二方面,本发明提供一种数字证书在线下载方法,包括:数字证书发放平台接收设备管理平台发送的令牌申请请求,所述令牌申请请求包括设备管理平台的注册信息,以及终端设备的身份标识;数字证书发放平台根据自身存储的设备管理平台的注册信息和所述令牌申请请求中的设备管理平台的注册信息,对所述设备管理平台进行身份验证;在所述设备管理平台身份验证通过后,基于所述终端设备的身份标识为所述终端设备分配令牌,并将所述令牌发送至所述设备管理平台,以便由所述设备管理平台将所述令牌转发给终端设备,所述令牌包括数字证书请求接口的地址以及终端设备的身份标识。第三方面,本发明提供一种数字证书在线下载方法,包括:终端设备向设备管理平台发送数字证书下载请求,所述数字证书下载请求包括终端设备的身份标识;接收所述设备管理平台转发的从数字证书发放平台获取的令牌,所述令牌包括数字证书请求接口的地址以及终端设备标识;将所述令牌发送至所述数字证书发放平台,以便所述数字证书发放平台根据所述令牌向所述终端设备发送数字证书;接收所述数字证书发放平台发送的数字证书。第四方面,本发明提供一种设备管理平台,包括:获取模块,用于获取终端设备发送的数字证书下载请求,所述数字证书下载请求包括终端设备的身份标识;发送模块,用于向数字证书发放平台发送令牌申请请求,所述令牌申请请求包括设备管理平台的注册信息,以及所述终端设备的身份标识,以便所述数字证书发放平台基于所述设备管理平台的注册信息对所述设备管理平台进行身份验证,以在所述设备管理平台的身份验证通过后,基于所述终端设备的身份标识为所述终端设备分配令牌并将所述令牌返回至所述设备管理平台,所述令牌包括数字证书请求接口的地址以及终端设备的身份标识;转发模块,用于接收所述数字证书发放平台返回的所述令牌,将所述令牌转发给所述终端设备,以便所述终端设备根据所述设备的身份标识对所述令牌进行令牌验证,并在令牌验证通过后,基于所述令牌中的数字证书请求接口的地址向所述数字证书发放平台发送所述令牌,以请求下载所述终端设备的数字证书。第五方面,本发明提供一种数字证书发放平台,包括:接收模块,用于接收设备管理平台发送的令牌申请请求,所述令牌申请请求包括设备管理平台的注册信息,以及终端设备的身份标识;验证模块,用于根据自身存储的设备管理平台的注册信息和所述令牌申请请求中的设备管理平台的注册信息,对所述设备管理平台进行身份验证;发送模块,用于在所述设备管理平台身份验证通过后,基于所述终端设备的身份标识为所述终端设备分配令牌,并将所述令牌发送至所述设备管理平台,以便由所述设备管理平台将所述令牌转发给终端设备,所述令牌包括数字证书请求接口的地址以及终端设备的身份标识。第六方面,本发明提供一种终端设备,包括:发送模块,用于向设备管理平台发送数字证书下载请求,所述数字证书下载请求包括终端设备的身份标识;接收模块,用于接收所述设备管理平台转发的从数字证书发放平台获取的令牌,所述令牌包括数字证书请求接口的地址以及终端设备标识;所述发送模块,还用于将所述令牌发送至所述数字证书发放平台,以便所述数字证书发放平台根据所述令牌向所述终端设备发送数字证书;所述接收模块,还用于接收所述数字证书发放平台发送的数字证书。第七方面,本发明提供一种数字证书在线下载系统,包括设备管理平台和数字证书发放平台,所述设备管理平台为采用上述本发明提供的设备管理平台,所述数字证书发放平台为采用上述本发明提供的数字证书发放平台。本发明提供的数字证书在线下载方法及系统、数字证书发放平台,可通过设备管理平台向数字证书发放平台请求令牌,使得终端设备可根据该令牌向数字证书发放平台请求获得数字证书,且在令牌请求以及令牌中,均携带有终端设备的身份标识,这样,在整个数字证书下载过程中,可有效确保数字证书在线下载的安全性和可靠性,减少或避免数字证书的恶意下载。


图1为本发明实施例一提供的数字证书在线下载方法的流程示意图;图2为本发明实施例二提供的数字证书在线下载方法的流程示意图;图3为本发明实施例三提供的数字证书在线下载方法的流程示意图;图4为本发明实施例四提供的数字证书在线下载方法的流程示意图;图5为本发明实施例五提供的数字证书在线下载方法的流程示意图;图6为本发明实施例五中运营商获取令牌的流程示意图;图7为本发明实施例五中终端设备接收到令牌后请求获得数字证书的流程示意图;图8为本发明实施例五中数字证书发放平台进行数字证书下发的流程示意图;图9为本发明实施例五中终端设备接收到数字证书后安装数字证书的流程示意图;图10为本发明实施例六提供的设备管理平台的结构示意图;图11为本发明实施例八提供的数字证书发放平台的结构示意图;图12为本发明实施例九提供的终端设备的结构示意图;图13为本发明实施例十提供的数字证书在线下载系统的结构示意图。
具体实施例方式为克服现有技术中由终端设备直接向数字证书发放平台(CA),以及采用下载码进行数字证书在线下载时所存在的安全性问题,本发明实施例提供的数字证书在线下载系统可包括设备管理平台以及数字证书发放平台,终端设备在进行数字证书在线下载时,可由设备管理平台向数字证书发放平台获取令牌,并将令牌转发给终端设备,最终由终端设备通过发送令牌的方式,向数字证书发放平台请求获得数字证书,其中,数字证书发放平台是基于终端设备的身份标识下发给终端设备,且令牌中同样携带终端设备的身份标识,这样,在整个数字证书请求过程中可有效提高数字证书在线下载的安全性和可靠性。下面将以具体实例对本发明技术方案做详细的说明。图1为本发明实施例一提供的数字证书在线下载方法的流程示意图。本实施例方法的执行主体为上述的设备管理平台,其可以根据终端设备的请求,向数字证书方法平台申请获得令牌,具体地,如图1所示,本实施例方法可包括如下步骤:步骤101、设备管理平台获取终端设备发送的数字证书下载请求,该数字证书下载请求包括终端设备的身份标识;步骤102、设备管理平台向数字证书发放平台发送令牌申请请求,该令牌申请请求包括设备管理平台的注册信息,以及终端设备的身份标识,以便数字证书发放平台基于设备管理平台的注册信息对设备管理平台进行身份验证,以在设备管理平台的身份验证通过后,基于终端设备的身份标识为终端设备分配令牌并将令牌返回至设备管理平台,该令牌包括数字证书请求接口的地址以及终端设备的身份标识;步骤103、设备管理平台接收数字证书发放平台返回的令牌,将令牌转发给终端设备,以便终端设备根据设备的身份标识对令牌进行令牌验证,并在令牌验证通过后,基于令牌中的数字证书请求接口的地址向数字证书发放平台发送该令牌,以请求下载终端设备的数字证书。本实施例中,设备管理平台可基于终端设备的身份标识,向数字证书发放平台获取令牌,且数字证书发放平台发送的令牌中也包括该终端设备的身份标识,这样,整个令牌获取过程,均是基于终端设备的身份标识来进行,可有效提高数字证书下载过程中的安全性和可靠性。其中,所述的终端设备的身份标识可以是指终端设备的身份信息,该身份信息是终端设备所唯一拥有的,该身份信息就好像是人的指纹信息一样,可以唯一代表某个人,因此,该身份信息也可称之为指纹信息。本实施例中,数字证书发放平台只接收设备管理平台发送的令牌申请请求,并基于设备管理平台发送的令牌申请请求来发送令牌,其中,设备管理平台具体可以是指运营商管理平台,或业务提供商管理平台,由于设备管理平台的数量有限,这样,在令牌申请请求时,可避免对数字证书发放平台的恶意攻击,提高令牌申请请求的安全性和可靠性。其中,数字证书发放平台在发放数字证书时,会根据终端设备的身份标识,在自身的数字证书数据库中为终端设备分配一个数字证书,并将其与终端设备的身份标识关联起来。本实施例中,由于令牌申请请求以及获取的令牌中均携带有终端设备的身份标识,这样,数字证书发放平台就可以基于该终端设备的身份标识来对终端设备进行鉴别,以及终端设备在接收到该令牌后,也可基于终端设备的身份标识对令牌是否为自身请求的令牌进行鉴别,使得令牌的获取安全、可靠。本实施例中,数字证书发放平台对设备管理平台进行身份验证时,是基于设备管理平台的注册信息来进行验证,该注册信息具体是指设备管理平台的账户以及密码等信息,该注册信息可以是在设备管理平台部署时为设备管理平台设置的。这样,数字证书发放平台在接收到设备管理平台发送来的令牌请求时,就可以基于自身存储的所有设备管理平台的注册信息,来确定发起令牌请求的设备是否为合法的设备。综上,本实施例提供的数字证书在线下载方法,通过设备管理平台向数字证书发放平台请求令牌,使得终端设备可根据该令牌向数字证书发放平台请求获得数字证书,且在令牌请求以及令牌中,均携带有终端设备的身份标识,这样,在整个数字证书下载过程中,可有效确保数字证书在线下载的安全性和可靠性,减少或避免数字证书的恶意下载。图2为本发明实施例二提供的数字证书在线下载方法的流程示意图。在上述图1所示实施例基础上,本实施例中设备管理平台在向数字证书发放平台发送令牌申请请求中还可包括签名信息,这样,数字证书发放平台就可以基于该签名信息对设备管理平台发送的令牌申请请求进行进一步的身份验证,可进一步地提高令牌申请请求的安全性和可靠性,避免恶意的令牌申请请求,具体地,如图2所示,本实施例方法可包括如下步骤:步骤201、设备管理平台获取终端设备发送的数字证书下载请求,该数字证书下载请求包括终端设备的身份标识;步骤202、设备管理平台向数字证书发放平台发送令牌申请请求,该令牌申请请求包括设备管理平台的注册信息,终端设备的身份标识,以及设备管理平台的标识、请求时间戳以及签名信息。步骤203、数字证书发放平台可基于设备管理平台的注册信息,对设备管理平台进行身份验证,判断设备管理平台的身份验证是否通过,是则执行步骤204,否则,设备管理平台是非法的设备,令牌请求无效,结束。步骤204、数字证书发放平台对该签名信息进行验证,判断该令牌申请请求是否有效,是则执行步骤205,否则,设备管理平台是非法设备,令牌请求无效,结束。步骤205、数字证书发放平台为终端设备分配一令牌,并向该设备管理平台发送该令牌;步骤206、设备管理平台接收该令牌,并将令牌转发给终端设备。上述步骤201中,签名信息是设备管理平台基于设备管理平台的数字证书,对请求时间戳和设备管理平台的标识进行签名的签名信息;该设备管理平台的数字证书由数字证书发放平台下发给所述设备管理平台。这样,上述步骤204就可以基于设备管理平台的数字证书,通过对设备管理平台发送的请求时间戳和设备管理平台的标识进行签名,以确定该签名与设备管理平台的签名是否一致,来确定设备管理平台是否为合法设备,进而确定令牌请求是否有效。其中,所述的利用数字证书对时间戳和设备管理平台的标识进行签名,其具体实现过程与传统签名算法相同或类似,在此不再赘述。上述步骤203和步骤204中,通过注册信息和签名信息对设备管理平台进行双重验证,可有效提高令牌发放的安全性和可靠性,避免恶意令牌请求。上述步骤205和步骤206中,数字证书发放平台为终端设备分配一令牌,具体是指,数字证书发放平台,可在数字证书数据库中,为其查找并分配一数字证书,并与该数字证书对应分配一令牌给终端设备,这样,终端设备接收到该令牌后,就可以直接将令牌发送给数字证书发放平台,而数字证书发放平台接收到该令牌后,确定是自身发出的令牌,且令牌有效,就可以将分配的相应的数字证书发送给终端设备,以实现数字证书的在线发放。图3为本发明实施例三提供的数字证书在线下载方法的流程示意图。本实施例方法的执行主体为用于在线下载数字证书的发放的数字证书发放平台,其可以基于上述设备管理平台的令牌申请请求,为终端设备分配令牌,并可基于终端设备发送的该分配的令牌,为其下发数字证书,具体地,如图3所示,本实施例方法可包括如下步骤:步骤301、数字证书发放平台接收设备管理平台发送的令牌申请请求,该令牌申请请求包括设备管理平台的注册信息,以及终端设备的身份标识;步骤302、数字证书发放平台根据自身存储的设备管理平台的注册信息和令牌申请请求中的设备管理平台的注册信息,对设备管理平台进行身份验证;步骤303、数字证书发放平台在设备管理平台身份验证通过后,基于终端设备的身份标识为终端设备分配令牌,并将令牌发送至设备管理平台,以便由设备管理平台将令牌转发给终端设备,该令牌包括数字证书请求接口的地址以及终端设备的身份标识。本实施例中,数字证书发放平台在发送完令牌后,还可接收终端设备基于令牌中的数字证书请求接口的地址发送的该令牌,为终端设备提供数字证书,实现数字证书的下发。本实施例中,数字证书发放平台可接收图1或图2中的设备管理平台发送的令牌申请请求,为终端设备发送令牌,其具体实现可参见上述图1或图2中的说明,在此不再详细赘述。本实施例中,数字证书发放平台在接收到终端设备发送的令牌时,还可确定该令牌的是否超过有效期,以及令牌是否执行过,以确定令牌是否可用。具体地,数字证书发放平台在发送令牌后,会为该令牌设定一有效时间,这样,数字证书发放平台接收到该令牌后,就可以确定该令牌是否在该有效时间内,是则令牌有效,否则令牌无效;同样的,若数字证书发放平台已经接收过该令牌,再次接收到该令牌时,也可确定该令牌无效。本实施例中,数字证书发放平台在为终端设备提供数字证书时,可利用终端设备的身份标识对数字证书进行加密后发送至终端设备,这样,终端设备接收到该加密后的数字证书后,就可以利用终端设备自身的身份标识对其解密,以获得解密后的数字证书。图4为本发明实施例四提供的数字证书在线下载方法的流程示意图。本实施例方法的执行主体为上述的终端设备,终端设备在需要下载数字证书时,即可按照本实施例方法从设备管理平台获取令牌,并通过该令牌向数字证书在线下发平台下载数字证书,具体地,如图4所示,本实施例方法可包括:步骤401、终端设备向设备管理平台发送数字证书下载请求,该数字证书下载请求包括终端设备的身份标识;步骤402、终端设备接收设备管理平台转发的从数字证书发放平台获取的令牌,该令牌包括数字证书请求接口的地址以及终端设备标识;步骤403、终端设备将令牌发送至数字证书发放平台,以便数字证书发放平台根据该令牌向终端设备发送数字证书;步骤404、终端设备接收数字证书发放平台发送的数字证书。本实施例中,终端设备可通过向设备管理平台发送数字证书下载请求,使得设备管理平台可基于图1或图2所示方法向数字证书发放平台请求获得令牌;终端设备获得令牌后,即可向数字证书发放平台发送令牌,使得数字证书发放平台可在接收到该令牌后,基于图3所示方法向终端设备发送数字证书,从而可实现数字证书的在线下载。上述步骤402中,终端设备接收到设备管理平台转发的令牌后,终端设备还可对该令牌进行验证,具体地,可通过判断令牌中的终端设备身份标识是否为自身的身份标识,以确认该令牌是否为自己的令牌,以确保令牌的准确性。上述步骤402中,若数字证书发放平台发送的数字证书为利用终端设备的身份标识加密后的数字证书,终端设备接收到加密后的数字证书后,可利用终端设备的身份标识,对加密后的数字证书进行解密,以得到解密后的数字证书,从而可提高数字证书下发的安全性和可靠性。为便于对本发明实施例技术方案有更好的了解,下面将以具体实现过程为例,对本发明技术方案做进一步的说明。图5为本发明实施例五提供的数字证书在线下载方法的流程示意图。如图5所示,本实施例方法包括如下步骤:步骤501、运营商注册步骤。本实施例中,设备管理平台为运营商设备,因此,在设备管理平台部署时,需要将其注册到数字证书发放平台。具体地,运营商可向数字证书发放平台的管理员提交书面注册信息并提供公钥证书请求,管理员验证合格后向数字证书发放平台添加运营商注册信息并签发运营商数字证书。步骤502、运营商获取证书申请令牌。具体地,运营商首先获得终端设备的身份标识,并向数字证书发放平台发送令牌申请请求,请求一个证书申请令牌。运营商获得证书申请令牌后转发该令牌给到终端设备。其中,运营商可通过设备管理平台自动获取用户的终端设备发送的数字证书下载请求,在接收到该下载请求后,即可向数字证书发放平台申请令牌。步骤503、终端设备执行该证书申请令牌。具体地,终端设备接收到令牌后,即可对令牌中的终端设备的身份标识进行验证,确定是否为自身的身份标识,是则将该令牌通过发送给数字证书发放平台,以请求获得数字证书。步骤504、数字证书发放平台接收到终端设备的令牌后,即可将数字证书发送至用户设备。具体地,数字证书发放平台接收到来自终端设备令牌后,即可确定终端设备进行在线证书请求,数字证书发放平台就可以在数字证书数据库中,取得一张包含公钥证书和私钥的PKCS#12文件,并通过发送至终端设备。步骤505、终端设备接收到数字证书后,即可安装该数字证书。具体地,数字证书发放平台在发送数字证书时,可利用终端设备的身份标识对其进行加密,这样,终端设备接收到该数字证书后,就可以终端设备的身份标识为口令解密数字证书文件,然后利用操作系统的API把证书公私钥安装进所在操作系统的证书库中。可以看出,本实施例中,终端设备需要下载数字证书时,可首先获得一个证书申请令牌,而该令牌的获取是通过运营商从数字证书发放平台中请求得到。由于运营商数目是可控的,而终端设备的数目是大量甚至海量的,从而可从业务上就避免了大量的终端设备对数字证书发放平台的直接攻击。实际应用中,运营商每次向数字证书发放平台请求获得令牌时,数字证书发放平台可对其进行一系列的验证,如根据注册信息进行验证以及签名认证等,可有效确保运营商请求的合法性和不可抵赖性。实际应用中,运营商在对设备管理平台进行注册时,具体可根据以下步骤进行注
nn
/ttr o步骤5011、运营商提交注册信息。具体地,运营商可向数字证书发放平台的管理员提交书面的注册申请,注册信息可包括运营商标识、运营商名称、联系人、座机电话、手机电话、电子邮箱、详细地址、邮编等。同时,设备管理平台可自行生成一对1024位的RSA密钥对,并提供包含该密钥对公钥的公钥证书请求,以及该公钥的SHA-1值。步骤5012、数字证书发放平台的管理员可对该运营商提交的注册信息进行审核。具体地,数字证书发放平台的管理员检查运营商注册信息填写的时否符合规范,是否有缺失信息,是否已注册等。如果信息填写有误,运营商需重新申请,如果信息填写无误,则所述管理员向数字证书发放平台添加一个注册运营商账号。步骤5013、数字证书发放平台签发运营商数字证书。具体地,数字证书发放平台可对运营商提供的公钥证书请求,计算其中公钥的SHA-1值,看是否与运营商提供的SHA-1值一致,以检验公钥完整性。如果相同,则签发一张包含该公钥和数字证书发放平台签名的数字证书,并交还给运营商。该数字证书用于之后请求证书申请令牌时对请求参数进行签名,从而验证运营商合法性和不可抵赖性。图6为本发明实施例五中运营商获取令牌的流程示意图。具体地,如图6所示,本实施例中,运营商可通过设备管理平台从数字证书发放平台通过以下步骤获得令牌:步骤5021、运营商请求证书申请令牌。具体地,运营商通过设备管理平台向数字证书发放平台发送令牌申请请求,以请求获得证书申请令牌。该令牌申请请求可包括运营商标识、请求时间戳、设备指纹和运营商签名以及终端设备的身份标识。其中,所述的运营商标识可以是设备管理平台的身份标识。上述的终端设备的身份标识对终端设备身份的唯一标识,位数可以由终端设备自行决定,终端设备可通过对本地设备的特征计算,生成设备指纹,即终端设备的身份标识。标识字符具体可采用可打印的ASCII字符组成(ASCII值从32到126)。针对不同的终端设备类型,可生成相应的设备指纹,其中应包含设备分类信息和特征码,如电脑设备、移动设备、电视机(含机顶盒),可分别编码为1、2和3。电脑设备指纹为=1-CPU标识符-硬盘标识符-网卡MAC地址-操作系统名称-版本-操作系统安装时间;移动设备指纹为:2_手机MEI号-CPU标识符-WIFI网卡MAC地址-操作系统名称-版本;电视机(含机顶盒)指纹为:3_CPU标识符-网卡MAC地址-操作系统名称-版本。如果某个设备缺少某些特征(例如某些移动设备只有WIFI网卡,没有MEI号),可以用0表示。最后终端设备可将生成的设备指纹计算哈希值后转成Base64编码格式。所述运营商签名使用运营商注册时获得的数字证书,数字摘要使用运营商标识、时间戳和设备指纹的串,例如OperatorId = 233 [TimeStamp =2012-11-2211:12:30 I Fingerprint = nhP63DzK/hyD6uNxExXRY7Mq。步骤5022、数字证书发放平台检查令牌请求是否有效。具体地,数字证书发放平台接收到来自运营商的令牌请求后,首先验证运营商是否未注册,如果未注册,则返回错误消息;然后从获得的运营商签名中解析出时间戳,看是否与服务器时间误差超过10分钟,如果超过,则返回错误消息;最后用所述数字证书发放平台的CA证书验证签名中的运营商数字证书是否有效,如果无效,则返回错误消息给运营商门户。步骤5023、数字证书发放平台下发证书申请令牌。具体地,数字证书发放平台接收到来自运营商的请求后,生成证书申请令牌并返回给运营商,该证书申请令牌格式具体可以入下表I所示。表1:
权利要求
1.一种数字证书在线下载方法,其特征在于,包括: 设备管理平台获取终端设备发送的数字证书下载请求,所述数字证书下载请求包括终端设备的身份标识; 设备管理平台向数字证书发放平台发送令牌申请请求,所述令牌申请请求包括设备管理平台的注册信息,以及所述终端设备的身份标识,以便所述数字证书发放平台基于所述设备管理平台的注册信息对所述设备管理平台进行身份验证,以在所述设备管理平台的身份验证通过后,基于所述终端设备的身份标识为所述终端设备分配令牌并将所述令牌返回至所述设备管理平台,所述令牌包括数字证书请求接口的地址以及终端设备的身份标识; 设备管理平台接收所述数字证书发放平台返回的所述令牌,将所述令牌转发给所述终端设备,以便所述终端设备根据所述设备的身份标识对所述令牌进行令牌验证,并在令牌验证通过后,基于所述令牌中的数字证书请求接口的地址向所述数字证书发放平台发送所述令牌,以请求下载所述终端设备的数字证书。
2.根据权利要求1所述的数字证书在线下载方法,其特征在于,所述令牌申请请求还包括所述设备管理平台的标识、请求时间戳以及签名信息,以便所述数字证书下发平台对所述签名信息进行验证,以确定所述设备管理平台发送的令牌申请请求是否有效; 其中,所述签名信息是所述设备管理平台基于所述设备管理平台的数字证书,对所述请求时间戳和设备管理平台的标识进行签名的签名信息;所述设备管理平台的数字证书由所述数字证书发放平台下发给所述设备管理平台。
3.一种数字证书在线下载方法,其特征在于,包括: 数字证书发放平台接收设备管理平台发送的令牌申请请求,所述令牌申请请求包括设备管理平台的注册信息,以及终端设备的身份标识; 数字证书发放平台根据自身存储的`设备管理平台的注册信息和所述令牌申请请求中的设备管理平台的注册信息,对所述设备管理平台进行身份验证; 在所述设备管理平台身份验证通过后,基于所述终端设备的身份标识为所述终端设备分配令牌,并将所述令牌发送至所述设备管理平台,以便由所述设备管理平台将所述令牌转发给终端设备,所述令牌包括数字证书请求接口的地址以及终端设备的身份标识。
4.根据权利要求3所述的数字证书在线下载方法,其特征在于,还包括: 数字证书发放平台接收所述终端设备基于所述令牌中的数字证书请求接口的地址发送的所述令牌,为所述终端设备提供数字证书。
5.根据权利要求4所述的数字证书在线下载方法,其特征在于,所述数字证书发放平台为所述终端设备提供数字证书时,利用所述终端设备的身份标识对所述数字证书进行加密后发送至所述终端设备。
6.一种数字证书在线下载方法,其特征在于,包括: 终端设备向设备管理平台发送数字证书下载请求,所述数字证书下载请求包括终端设备的身份标识; 接收所述设备管理平台转发的从数字证书发放平台获取的令牌,所述令牌包括数字证书请求接口的地址以及终端设备标识; 将所述令牌发送至所述数字证书发放平台,以便所述数字证书发放平台根据所述令牌向所述终端设备发送数字证书;接收所述数字证书发放平台发送的数字证书。
7.根据权利要求6所述的数字证书在线下载方法,其特征在于,所述数字证书发放平台发送的数字证书为利用终端设备身份标识加密后的数字证书; 所述方法还包括: 利用所述终端设备的身份标识,对所述数字证书发放平台发送的加密后的数字证书进行解密,得到解密后的数字证书。
8.一种设备管理平台,其特征在于,包括: 获取模块,用于获取终端设备发送的数字证书下载请求,所述数字证书下载请求包括终端设备的身份标识; 发送模块,用于向数字证书发放平台发送令牌申请请求,所述令牌申请请求包括设备管理平台的注册信息,以及所述终端设备的身份标识,以便所述数字证书发放平台基于所述设备管理平台的注册信息对所述设备管理平台进行身份验证,以在所述设备管理平台的身份验证通过后,基于所述终端设备的身份标识为所述终端设备分配令牌并将所述令牌返回至所述设备管理平台,所述令牌包括数字证书请求接口的地址以及终端设备的身份标识; 转发模块,用于接收所述数字证书发放平台返回的所述令牌,将所述令牌转发给所述终端设备,以便所述终端设备根据所述设备的身份标识对所述令牌进行令牌验证,并在令牌验证通过后,基于所述令牌中的数字证书请求接口的地址向所述数字证书发放平台发送所述令牌,以请求下载所述终端设备的数字证书。
9.根据权利要求8所述的设备管理平台,其特征在于,所述令牌申请请求还包括所述设备管理平台的标识、请求时间戳以及签名信息,以便所述数字证书下发平台对所述签名信息进行验证,以确定所述设备管理`平台发送的令牌申请请求是否有效; 其中,所述签名信息是所述设备管理平台基于所述设备管理平台的数字证书,对所述请求时间戳和设备管理平台的标识进行签名的签名信息;所述设备管理平台的数字证书由所述数字证书发放平台下发给所述设备管理平台。
10.一种数字证书发放平台,其特征在于,包括: 接收模块,用于接收设备管理平台发送的令牌申请请求,所述令牌申请请求包括设备管理平台的注册信息,以及终端设备的身份标识; 验证模块,用于根据自身存储的设备管理平台的注册信息和所述令牌申请请求中的设备管理平台的注册信息,对所述设备管理平台进行身份验证; 发送模块,用于在所述设备管理平台身份验证通过后,基于所述终端设备的身份标识为所述终端设备分配令牌,并将所述令牌发送至所述设备管理平台,以便由所述设备管理平台将所述令牌转发给终端设备,所述令牌包括数字证书请求接口的地址以及终端设备的身份标识。
11.根据权利要求10所述的数字证书发放平台,其特征在于,还包括: 数字证书发放模块,用于接收所述终端设备基于所述令牌中的数字证书请求接口的地址发送的所述令牌,为所述终端设备提供数字证书。
12.根据权利要求10所述的数字证书发放平台,其特征在于,所述数字证书发放模块,具体用于为所述终端设备提供数字证书时,利用所述终端设备的身份标识对所述数字证书进行加密后发送至所述终端设备。
13.一种终端设备,其特征在于,包括: 发送模块,用于向设备管理平台发送数字证书下载请求,所述数字证书下载请求包括终端设备的身份标识; 接收模块,用于接收所述设备管理平台转发的从数字证书发放平台获取的令牌,所述令牌包括数字证书请求接口的地址以及终端设备标识; 所述发送模块,还用于将所述令牌发送至所述数字证书发放平台,以便所述数字证书发放平台根据所述令牌向所述终端设备发送数字证书; 所述接收模块,还用于接收所述数字证书发放平台发送的数字证书。
14.根据权利要求13所述的终端设备,其特征在于,所述数字证书发放平台发送的数字证书为利用终端设备身份标识加密后的数字证书; 所述接收模块,还用于利用所述终端设备的身份标识,对所述数字证书发放平台发送的加密后的数字证书进行解密,得到解密后的数字证书。
15.一种数字证书在线下载系统,其特征在于,包括设备管理平台和数字证书发放平台,所述设备管理平台为采用权利要求8或9所述的设备管理平台,所述数字证书发放平台为采用权利要求10、11或12所述的`数字证书发放平台。
全文摘要
本发明提供一种数字证书在线下载方法及系统、数字证书发放平台。该方法包括设备管理平台获取终端设备发送的数字证书下载请求;设备管理平台向数字证书发放平台发送令牌申请请求,令牌申请请求包括设备管理平台的注册信息,以及终端设备的身份标识;设备管理平台接收数字证书发放平台返回的令牌,将令牌转发给终端设备,以便终端设备根据设备的身份标识对令牌进行令牌验证,并在令牌验证通过后,基于令牌中的数字证书请求接口的地址向数字证书发放平台发送令牌,以请求下载终端设备的数字证书。本发明技术方案可基于设备管理平台获取令牌,并基于令牌从数字证书发放平台获取数字证书,可提高数字证书在线下载的安全性和可靠性。
文档编号H04L9/32GK103107996SQ20131004949
公开日2013年5月15日 申请日期2013年2月7日 优先权日2013年2月7日
发明者袁浩, 孙剑, 唐小军 申请人:北京中视广信科技有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:袁浩;孙剑;唐小军;
  • 技术所有人:北京中视广信科技有限公司;
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2